lsass.exe отправляет множество поисковых запросов ldap на устройство NAS

Question

lsass.exe отправляет множество поисковых запросов ldap на устройство NAS

Я только что заметил, что мой dc (W2k3 R2 Enterprise SP2) отправляет запросы ldap на IP-адрес, назначенный устройству NAS (snapserver). Snapserver находится на другом сайте AD и имеет интеграцию с Active Directory, указанную в качестве функции. Я понятия не имею, как это настроено, так как у меня нет доступа к нему.

TCP SRC: 172.20.20.50:389 dest: 172.22.50.100:34252 TIME_WAIT 0 TCP SRC: 172.20.20.50:389 dest: 172.22.50.100:35846 ESTABLISHED 392 TCP SRC: 172.20.20.50:389 dest: 172.22.50.100:35847 ESTABL 392

PID 392: lsass.exe

Пример 1858 47.661264 Src=172.20.20.50 Dest=172.22.50.100 LDAP searchResEntry(69) "CN= Гарри Поттер,OU=LaLaLand,OU= Пространство, DC= компания,DC=com"

Все запросы запускают до 2 ГБ исходящего трафика в течение пары часов. Как я могу устранить эту проблему дальше?

0

ldap lsass

Источник

Datapimp23 03 фев '11 в 08:49

1 ответ

Другие вопросы по тегам ldap lsass

joeqwerty 03 фев '11 в 13:25 2011-02-03 13:25 · Answer 1 · 2011-02-03 13:25

Если IP-адрес 172.20.20.50 является DC, то это не источник трафика LDAP, а пункт назначения трафика LDAP. Я предполагаю, что NAS настроен на интеграцию / аутентификацию AD и пытается установить связь с DC.

Кроме того, кажется, что вы неправильно интерпретируете захват пакета. Если вы выполняете захват пакета от DC (как это выглядит), захват всегда будет показывать DC в качестве источника, а удаленный хост в качестве пункта назначения, потому что захват пакета видит трафик с точки зрения хоста, на котором он находится. работает на. Это не означает, что DC является хостом, который инициировал соединение. Если вы используете netstat, DC будет отображаться как локальный адрес, а NAS будет отображаться как внешний адрес.